SCS評価制度★3 文書化テンプレート集 ― 情報セキュリティ規程・IT資産台帳・IRP・委託先管理規程の作り方
SCS評価制度の全体像については SCS評価制度 対策ガイド もあわせてご覧ください。
SCS評価制度★3の取得では、対策の実施だけでなく**「対策が体系的に運用されていること」を示す文書**が必須となります。専門家確認の段階で、ポリシー文書・運用記録・台帳類が不十分だと差し戻しの主因になります。
本記事では、★3取得に最低限必要な4つの基本文書の目次と必須項目を、中小企業の規模感に合わせて整理します。複雑なISMSの大全とは異なり、A4で5〜10ページ程度の軽量版で機能する設計を意識しています。
必要な4つの基本文書
★3取得で最低限揃えるべき文書は次の4つです。
- 情報セキュリティ規程(基本方針+対策基準+実施手順)
- IT資産台帳(端末・サーバ・SaaS・ネットワーク機器の一覧)
- インシデント対応計画書(IRP)(インシデント発生時の手順)
- 委託先管理規程(委託先のセキュリティ管理ルール)
加えて、運用記録(教育実施記録、パッチ適用記録、復旧テスト記録など)が継続的に残る仕組みも必要ですが、これら4文書が骨格となります。
文書1:情報セキュリティ規程
全体構成(3階層)
情報セキュリティ規程は次の3階層で整理するのが標準です。
- 基本方針(A4 1〜2ページ):経営者の意思表明と全社的な方向性
- 対策基準(A4 5〜10ページ):分野別の管理ルール
- 実施手順(必要に応じて作成):具体的な作業手順
中小企業の場合、「基本方針+対策基準」を1つの文書にまとめて、必要な手順は別文書化する設計が効率的です。
基本方針の必須項目
- 目的(情報セキュリティへの取り組み宣言)
- 適用範囲(対象組織・対象情報)
- 責任の明確化(経営者・セキュリティ責任者の責務)
- コンプライアンス(関連法令・業界基準への遵守)
- 継続的改善(PDCAの回し方)
- 発効日と改訂履歴
対策基準の必須セクション
- 組織と体制(責任者の任命、教育の実施)
- アクセス制御(ID管理、認証、権限管理)
- 資産管理(IT資産の把握、ラベリング)
- 物理的セキュリティ(執務室、サーバ室、機器持ち出し)
- 通信と暗号化(ネットワーク防御、暗号化適用)
- マルウェア対策・パッチ管理
- ログ取得・監査
- バックアップとリカバリ
- インシデント対応
- 委託先管理
- 教育・訓練
よくある失敗パターン
- ISMSテンプレートをそのまま流用:100ページ超の大作になり運用が破綻
- 規程と実態の乖離:「四半期ごと」と書いてあるが実際は不定期
- 法令・業界基準の参照が抽象的:「関連法令を遵守する」だけで具体性がない
中小企業向けには、A4で10〜15ページ程度の規程に収め、年1回必ず見直す運用が現実的です。
文書2:IT資産台帳
台帳の役割
IT資産台帳は、★3要件「自社のIT資産を識別している」を満たす中核文書です。Excel・スプレッドシートで管理するのが一般的です。
必須項目(端末用)
| 項目 | 内容例 |
|---|---|
| 管理番号 | PC-001 |
| 機種・型番 | Dell Latitude 5440 |
| シリアル番号 | XXXX-XXXX |
| 用途 | 営業用ノートPC |
| 管理者 | 情シス兼任 / 総務部 |
| 利用者 | 山田太郎(営業部) |
| OS/バージョン | Windows 11 Pro 24H2 |
| インストール済みソフトウェア | M365 Apps、Acrobat、〇〇業務システム |
| 暗号化状況 | BitLocker有効 |
| MDM管理 | Intuneで管理 |
| 取得日 / 償却予定 | 2024-04-01 / 2028-03-31 |
| 状態 | 利用中/予備/廃棄予定 |
サーバ・ネットワーク機器・SaaS用の項目
サーバ・ネットワーク機器の場合は、IPアドレス、設置場所、保守業者、稼働サービスを追加します。SaaSの場合は、サービス名、契約管理者、ライセンス数、機微情報の保管有無、責任分担(IaaS/PaaS/SaaS)を整理します。
棚卸しの運用
- 年1回以上の棚卸し(情シス担当による現物確認)
- 入退社時の更新(端末払い出し・回収のタイミング)
- 廃棄時の記録(廃棄日、廃棄方法、データ消去方法)
よくある失敗パターン
- 台帳はあるが古い:1年以上更新されていない
- シャドーITが反映されていない:利用者が独自に契約したSaaSが台帳にない
- 責任者が曖昧:誰が更新責任を持つかが不明確
文書3:インシデント対応計画書(IRP)
IRPの目的
インシデント対応計画書(IRP:Incident Response Plan)は、サイバーインシデント発生時の**「誰が、いつ、何を、どうするか」**を事前に定めた文書です。
必須セクション
- インシデントの定義(何をインシデントとして扱うか)
- 重要度の分類(軽微/中/重大/クリティカル)
- 連絡網(社内・社外)
- 初動対応手順(検知→隔離→保全→報告)
- エスカレーション基準(経営層への報告タイミング)
- 外部関係者対応(取引先、IPA、警察、規制当局、報道)
- 復旧手順(バックアップからの復元、システム再開)
- 事後対応(原因分析、再発防止策、教訓化)
連絡網の作り方
| 連絡先 | 役割 | 連絡先電話 | メール | 連絡優先順位 |
|---|---|---|---|---|
| 代表取締役 | 最終意思決定 | 080-XXXX | … | 1 |
| 情シス担当 | 技術対応 | 090-XXXX | … | 2 |
| 法務担当 | 法的対応 | 090-XXXX | … | 3 |
| IPA情報セキュリティ安心相談窓口 | 相談 | 03-5978-7509 | … | 4 |
| 顧問弁護士 | 法的助言 | 03-XXXX | … | 5 |
| 顧問サイバー保険会社 | 補償・支援 | 0120-XXXX | … | 6 |
| 主要取引先A社 | 通知 | 03-XXXX | … | 7 |
訓練の実施
★3の証跡として、年1回程度の机上演習(テーブルトップ訓練)の記録を残します。シナリオ例:「ランサムウェア感染が疑われる挙動を検知した」「取引先から個人情報漏洩の疑いの通知を受けた」など。
よくある失敗パターン
- 手順書だけで連絡網が古い:退職した担当者の連絡先が残っている
- 訓練記録がない:手順書はあるが机上演習の実施記録がない
- 法令対応が抽象的:個人情報保護法の漏洩通知期限への言及がない
文書4:委託先管理規程
規程の目的
委託先管理規程は、SCS評価制度の独自領域である「取引先管理」を満たす文書です。詳細は委託先管理の実装ガイドも参照ください。
必須セクション
- 目的と適用範囲
- 重要委託先の定義と選定基準
- 委託先選定プロセス(事前のセキュリティ確認)
- 契約上のセキュリティ要件(NDA、契約書条項)
- 年次評価の実施(評価シートの送付・回収・スコアリング)
- 改善要請プロセス(不適合時の是正要求)
- 再委託の管理(事前承諾、二次委託先の把握)
- 緊急時対応(委託先でインシデント発生時の対応)
- 契約終了時の対応(情報の返却・廃棄確認)
重要委託先リストの管理項目
| 項目 | 内容 |
|---|---|
| 委託先名 | 株式会社〇〇 |
| 委託業務内容 | 顧客データ入力代行 |
| 提供している情報 | 顧客個人情報(氏名・住所・電話番号) |
| 契約形態 | 業務委託契約+NDA |
| 契約締結日 / 更新日 | 2025-04-01 / 2026-04-01 |
| 直近のセキュリティ評価日 | 2026-05-15 |
| セキュリティ評価結果 | 適合18/要改善2/不適合0 |
| 認証取得状況 | SECURITY ACTION★2 |
| 再委託の有無 | あり(〇〇株式会社) |
| インシデント発生履歴 | 直近2年なし |
| 担当部署・担当者 | 営業部・〇〇 |
よくある失敗パターン
- 委託先リストはあるがNDAと一致していない:NDA未締結の委託先が混じっている
- 年次評価が形骸化:評価シートを送るだけで回収・分析がされていない
- 再委託先の把握漏れ:一次委託先からの申告がなく実態が見えない
文書化を効率化するコツ
コツ1:ISMS/業界対応との共通化
すでにISMS、3省2、自工会対応などの文書がある企業は、それらの文書をベースにSCS要求事項のマッピングを追加する形で整備します。新規にゼロから作る必要はありません。
コツ2:A4 1ページのサマリ版を併用
正式な規程・計画書は数ページ〜十数ページになりますが、現場の担当者・経営者が日常的に参照するためのA4 1ページのサマリ版を併用すると、運用が機能します。
コツ3:四半期ごとの軽量レビュー
文書を作成して終わりではなく、四半期ごとに「変更があった項目はないか」をレビューする運用を入れます。完全な改訂ではなく、軽量な更新で十分です。
コツ4:証跡保管ルールの統一
ポリシーを作っても運用記録が散在していると、専門家確認時に取り出せません。**「何の記録を、どこに、いつまで保管するか」**を文書管理規程として定めておきます。
情シス365のテンプレート提供
情シス365では、SCS★3取得に必要な4文書のテンプレートを提供しています。Wordフォーマットで提供し、貴社の業種・規模・既存対策状況に合わせてカスタマイズします。
- 情報セキュリティ規程(基本方針+対策基準)テンプレート
- IT資産台帳(端末/サーバ/SaaSの3種)
- インシデント対応計画書テンプレート
- 委託先管理規程+評価シートテンプレート
- 文書管理規程・運用記録テンプレート
合わせて、テンプレートを使ったカスタマイズワークショップ(半日)も提供しています。